a Google biztonsági mérnöke Mountain View-ból csatlakozott az XDA-hoz, hogy megvitassák az Android Pay alkalmazással kapcsolatos problémákat rootolt eszközökön
Egy fórumtag, akiről megerősítették, hogy a Mountain View-n kívül a Google biztonsági mérnökeként dolgozik, csatlakozott az XDA-hoz, hogy beszélje meg az Android Pay alkalmazással kapcsolatos problémákat rootolt eszközökön, miért nem fog működni, és megerősítette, hogy a Google hallgat az Ön üzenetére Visszacsatolás. A root hozzáféréssel és az Android Pay szolgáltatással kapcsolatban ezt mondta:
"Az eszközeiket rootoló Android-felhasználók a leglelkesebb rajongóink közé tartoznak, és amikor ez a csoport megszólal, hallgatunk. Néhányan közülünk a Google környékén hallgattunk ehhez hasonló szálakat, és tudjuk, hogy csalódott bennünk. Biztonsági mérnök vagyok, és az Android Pay alkalmazással dolgozom, ezért ez a téma különösen nagy hatással volt rám. Szerettem volna mindenkit felkeresni, és elmondani, hogy hallunk.
A Google teljes mértékben elkötelezett az Android nyitva tartása mellett, és ez azt jelenti, hogy ösztönzi a fejlesztők építését. Noha a platform fejlesztőbarát környezetként továbbra is virágozhat, és továbbra is virágoznia kell, van néhány ilyen alkalmazások (amelyek nem részei a platformnak), ahol meg kell győződnünk az Android biztonsági modelljéről ép.
Ezt a „biztosítást” az Android Pay, sőt a SafetyNet API-n keresztül harmadik féltől származó alkalmazások is megteszik. Ahogy azt mindenki elképzelheti, amikor fizetési hitelesítő adatokról és – meghatalmazottan – valódi pénzről van szó, az olyan biztonsági emberek, mint én, extra idegessé válnak. Én és a fizetési ágazatban dolgozó kollégáim hosszan és alaposan megvizsgáltuk, hogyan biztosíthatjuk, hogy az Android A Pay olyan eszközön fut, amely jól dokumentált API-készlettel és jól érthető biztonsággal rendelkezik modell.
Arra a következtetésre jutottunk, hogy az Android Pay esetében ennek egyetlen módja annak biztosítása, hogy az Android-eszköz megfeleljen a kompatibilitási tesztcsomagnak, amely magában foglalja a biztonsági modell ellenőrzését is. A korábbi Google Wallet érintéssel fizetett szolgáltatás más felépítésű volt, és lehetővé tette a Wallet számára, hogy a fizetés engedélyezése előtt függetlenül értékelje minden tranzakció kockázatát. Ezzel szemben az Android Pay alkalmazásban fizetési hálózatokkal és bankokkal dolgozunk, hogy tokenizáljuk a tényleges kártyainformációkat, és csak ezeket a tokeninformációkat adjuk át a kereskedőnek. A kereskedő ezután a hagyományos kártyás vásárlásokhoz hasonlóan törli ezeket a tranzakciókat. Tudom, hogy sokan közületek szakértők és hatékony felhasználók, de fontos megjegyezni, hogy nem igazán tudunk megfelelő módon megfogalmazni egy bizonyos biztonsági árnyalatokat. fejlesztői eszközt a teljes fizetési ökoszisztémára, vagy annak megállapítására, hogy Ön személyesen tett-e bizonyos ellenintézkedéseket a támadások ellen – sokan valóban nem van. " - jasondclinton_google
Arra a lehetőségre válaszolva, hogy ez azt jelenti, hogy egy napon megérkezhet a rootolt eszközök támogatása, mondta Jason "Nem tudok olyan módról, amely jelenleg vagy a közeljövőben azt állíthatná, hogy egy adott alkalmazás adattár biztonságos egy nem CTS-kompatibilis eszközön. Ennek megfelelően a válasz egyelőre "nem"", és válaszolva az egyik felhasználó kijelentésére, miszerint ha választania kellene a root és az Android Pay között, akkor a rootot választaná, Jason együttérzését fejezte ki, és azt állította, hogy bárcsak lehetséges lenne elérni a gyökérfunkciókat anélkül is gyökeresedés. Arról is kapott visszajelzést, hogy figyelmeztetést helyeztek el a Play Áruházban, amely szerint az alkalmazás nem fog működni rootolt eszközökön.
Sajnos megerősítést nyert, hogy minden nem hivatalos build nem felel meg a SafetyNetnek, mivel a rendszerkép nem várható. Ezzel folytatta. "Az egyik módja ennek az, hogy az aláírás proxyként használható a korábbi CTS-átadási állapothoz. (Ha minden, a kernel által felsorolt fájlt és telefoneszközt átvizsgálnánk, hogy megállapítsuk, milyen környezetben futunk, több tíz percre lemerítenénk az eszközt.) Tehát kezdjük a CTS állapottal, amelyet egy éles kép aláírása követ, majd keressük azokat a dolgokat, amelyek nem jól néznek ki. Ez a közösség már jó néhány dolgot azonosított, amit mi vizsgálunk: például a „su” jelenlétét." jasondclinton_google
Továbbra is figyelemmel kíséri az Android Pay alkalmazással kapcsolatos kapcsolódó szálakat az XDA-n, azonban nem ígéri, hogy minden megjegyzésre válaszol, de minden bizonnyal meghallgatja. Ha szeretne naprakész lenni a szálban írt megjegyzéseivel kapcsolatban, ellenőrizze itt. Azonban ez egy lépés a helyes irányba, most, hogy tudjuk, hogy figyelnek és konstruktív visszajelzéseket fogadnak, remélhetőleg több vitát fogunk látni a Google munkatársai és a fórum tagjai között.